njRAT - это троян для удаленного доступа. Это одна из самых широкодоступных RAT на рынке, которая содержит большое количество обучающей информации. Заинтересованные злоумышленники могут даже найти учебники на YouTube. Это позволяет ему стать одним из самых популярных RAT в мире.
Что такое вредоносная программа njRAT?
njRAT, также называемый Bladabindi и Njw0rm - это троян удаленного доступа, который используется для удаленного управления зараженными машинами. Благодаря своей доступности, обилию онлайновых руководств, большому количеству информации и надежному набору основных функций, а также нескольким реализованным техникам уклонения, njRAT стал одним из наиболее широко используемых RAT в мире.
Впервые эта вредоносная программа была обнаружена в 2013 году, однако некоторые связанные с ней RAT были замечены исследователями еще в 2012 году. Наибольший всплеск атак трояна njRAT был зафиксирован в 2014 году на Ближнем Востоке, который является наиболее целевым регионом для этой вредоносной программы.
Общая информация о njRAT
Троян njRAT построен на базе фреймворка .NET. Этот RAT дает хакерам возможность удаленно контролировать ПК жертвы. njRAT позволяет злоумышленникам активировать веб-камеру, регистрировать нажатия клавиш и красть пароли из веб-браузеров, а также нескольких настольных приложений.
Кроме того, вредоносная программа предоставляет хакерам доступ к командной строке на зараженном компьютере. Это позволяет убивать процессы, а также удаленно выполнять и манипулировать файлами. Кроме того, njRAT способен манипулировать системным реестром. При заражении троян Bladabindi собирает несколько бит информации о компьютере, на который он попал, включая имя компьютера, номер операционной системы, страну, в которой находится компьютер, имена пользователей и версию ОС.
Кроме того, эта вредоносная программа способна атаковать приложения криптовалютных кошельков и красть криптовалюту с ПК. Например, известно, что он может захватывать биткоины и даже получать доступ к информации о кредитной карте, которая иногда может храниться в криптовалютных приложениях как средство для покупки криптовалюты.
После заражения компьютера вредоносная программа использует имя переменной и копирует себя в %TEMP%, %APPDATA%, %USERPROFILE%, %ALLUSERSPROFILE% или %windir% - поведение, нередкое для вредоносных программ этого типа. Он также может копировать себя в файл <любая строка>.exe, чтобы гарантировать, что он будет активироваться каждый раз, когда жертва включает свой компьютер.
У трояна njRAT есть несколько хитростей в рукаве, чтобы избежать обнаружения антивирусным ПО. Например, он использует несколько обфускаторов .NET для блокировки своего кода. Еще одна техника, которую использует вредоносная программа, - маскировка под критически важный процесс. Это не позволяет пользователю отключить его. Это также затрудняет удаление njRAT с зараженных ПК. Bladabindi RAT также может деактивировать процессы, принадлежащие антивирусному ПО, что позволяет ему оставаться скрытым. njRAT также умеет определять, была ли она запущена на виртуальной машине, что помогает злоумышленникам создавать контрмеры против исследователей.
Авторы Bladabindi используют Pastebin, чтобы избежать расследования со стороны исследователей кибербезопасности. njRAT загружает дополнительные компоненты и выполняет полезную нагрузку вторичной стадии с Pastebin. Таким образом, вредоносной программе не нужно создавать традиционный сервер управления и контроля (C2). Pastebin создает путь между заражениями njRAT и новыми полезными нагрузками. Троян выступает в роли загрузчика, захватывая закодированные данные, сброшенные на Pastebin, декодируя их и развертывая.
Для распространения njRAT может обнаруживать внешние жесткие диски, подключенные через USB. Обнаружив такое устройство, RAT копирует себя на подключенный диск и создает ярлык.
Кто создал njRAT?
Создатели njRAT - члены подпольного хакерского сообщества под названием Sparclyheason. Очевидно, они создали очень популярную и разрушительную вредоносную программу. njRAT был классифицирован как "серьезный" Центром защиты от вредоносных программ Microsoft.
Фактически, после крупной вредоносной кампании в 2014 году Microsoft закрыла четыре миллиона веб-сайтов, пытаясь отфильтровать трафик, который шел через домены no-ip.com.
Процесс выполнения njRAT
После того как njRAT попал на целевое устройство и начал выполняться, он мгновенно начал свою вредоносную деятельность. Обычно начальный файл переименовывает себя и создает дочерний процесс. Иногда троян njRAT внедряет свой код в легитимные процессы, такие как RegSvcs.exe и RegAsm.exe.
Вредоносная программа также способна запускать себя через планировщик задач. Этот дочерний процесс выполняет основную вредоносную деятельность. Такая деятельность включает в себя кражу информации, подключение к серверам C2 и изменение значения автозапуска в реестре, чтобы запускать себя при старте операционной системы.
Распространение njRAT
Троян njRAT использует довольно много векторов атаки для заражения своих жертв. Например, известно, что вредоносная программа нацелена на пользователей Discord в рамках спам-кампаний. Кроме того, троян использует крэки и кейгены в известном программном обеспечении, чтобы обмануть пользователей. Он устанавливает вредоносные пакеты для заражения машины.
Еще один известный способ распространения - через взломанный веб-сайт, который обманом заставлял пользователей загрузить поддельное обновление продукта Adobe, которое, в свою очередь, устанавливало на ПК вредоносную программу njRAT. Bladabindi также присутствовал в спам-рассылках по электронной почте. В этом случае он доставлялся потенциальным жертвам в виде вредоносного вложения.
В октябре 2020 года почтовый спам использовал тему "отслеживание отправлений", подделывая популярные курьерские и почтовые службы. Вредоносные пакеты содержат вложения в формате Zip с закодированной полезной нагрузкой и компонентами Visual Basic script (VBE).
Кроме того, мошенники все чаще используют облачные платформы хранения данных. Злоумышленники размещают там вредоносные файлы для доставки вредоносного программного обеспечения и даже используют их как часть архитектуры управления и контроля (C&C). Именно поэтому крайне важно знать общие инструкции по удалению вредоносных программ и анализировать вирусы в безопасной среде.
Заключение
Относительная простота управления, множество руководств по настройке этой вредоносной программы и очень обширный набор функций для кражи информации сделали этот RAT одним из самых популярных троянов удаленного доступа в мире.
Несмотря на то, что пик активности трояна njRAT пришелся на 2014 год и был направлен в основном на Ближний Восток и Индию, он остается чрезвычайно популярным и сегодня. Известно, что эта вредоносная программа была нацелена как на частных, так и на корпоративных жертв и представляет большую опасность для пользователей Интернета, особенно учитывая, что она может быть доставлена потенциальным жертвам несколькими способами, а предотвратить заражение в одних случаях гораздо сложнее, чем в других.